Tatsächlich, sie existieren: Betreiber von Webdiensten, die Datenschutz-Bedenken der Nutzer äußerst ernst nehmen: IDGARD zum Beispiel, dessen technisches Konzept auf Privacy by Design beruht und sich wichtiger Sicherheitslücken bei der Datenverarbeitung in den Rechenzentrum angenommen hat. Wie ernst Uniscon, dem Betreiber des Kommunikationsdienstes, Datenschutz wirklich ist, zeigt jetzt ein Gutachten des unabhängigen Datenschutzberaters DataTree AG. Es belegt, dass der Dienst Schutzanforderungen erfüllt, die der höchsten Schutzklasse des Trusted Cloud Datenschutzprofils (TCDP) entsprechen.
Unter der Leitung von Georg Borges, Professor für Bürgerliches Recht, Rechtstheorie und -informatik an der Universität des Saarlandes, erarbeiteten Sicherheitsexperten aus Industrie, Forschung und Datenschutzaufsichtsbehörden im Rahmen der Trusted Cloud Initiative des BMWi einen detaillierten datenschutzrechtlichen Prüfkatalog für Cloud Computing. Der im April endgültig vorliegende Anforderungskatalog – das TCDP – teilt Cloud-Angebote in drei Schutzklassen ein, wobei die dritte Schutzklasse die höchste ist.
Mit seiner Basistechnologie Sealed Cloud, die Datenschutz schon von Anfang an berücksichtigte, qualifiziert sich IDGARD für die höchste Schutzklasse. Das bestätigt ein Gutachten des Datenschutz-Dienstleisters Datatree AG. Anhand der vom TCDP formulierten Schutzklassen können sich Unternehmen bezüglich des Schutzbedarfs für Ihre Daten und Anwendungen orientieren und so schnell die passenden Anbieter identifizieren. Mit diesen Zertifikaten kann sich in Zukunft jedes Unternehmen, das Daten auslagert, sicher sein, dass die eigenen Compliance-Vorgaben auch vom Cloud-Dienstleister eingehalten werden.
Das Schutzklassenkonzept des TCDP
Basierend auf den Umsetzungsempfehlungen der ISO/IEC 27018:2014 und weiteren Evaluationskriterien zur Erfüllung des Bundesdatenschutzgesetzes (BDSG) wird das Sicherheitsniveau der Cloud-Angebote im Trusted Cloud Datenschutz Profil (TCDP) in drei Schutzklassen eingeteilt. Bei der Einstufung werden nicht nur die funktionalen und nicht-funktionalen Merkmale der Infrastruktur, die zum Betrieb des Dienstes gehören, beachtet. Zusätzlich wird auch der Entstehungsprozess aus Sicht der Implementierung und aus Sicht des Einsatzes überprüft, also der gesamte Produktzyklus. Entscheidend ist zum einen für das Verfahren, dass fachlich geeignete und unabhängige Auditoren die Prüfung durchführen. Zum zweiten ist entscheidend, dass die Zertifizierung auf der Grundlage allgemeiner, anerkannter Kriterien erfolgt, die für alle begutachteten Dienste gleichermaßen gelten.
Werfen Sie einen Blick in eine Zusammenfassung zur Datenschutz-Zertifizierung.